Europejskie firmy, które najczęściej przekazują dane do USA korzystając z usług amerykańskich gigantów jak Facebook czy Google, znalazły się w kropce. o ile bowiem w przypadku Privacy Shield sprawa stała się jasna (na tej podstawie po prostu nie można przekazywać danych), o tyle w przypadku przekazań na podstawie standardowych klauzul umownych odpowiedź na pytanie, czy jest to właściwe zabezpieczenie przekazu, odpowiedź brzmi „to zależy”.
Na przekazującego zostało teraz nałożone naprawdę trudne zadanie dokonania oceny systemu ochrony danych w państwie spoza UE, które to zadanie bez zaangażowania w ten proces sztabu prawników (a czasem również informatyków) może się okazać niewykonalne.
Bezpośredni i namacalny skutek unieważnienia Privacy Shield
Skoncentrujmy się jednak na konkretach. Do wydania przytoczonego orzeczenia Trybunału Sprawiedliwości doprowadziły działania Maximiliana Schremsa, austriackiego prawnika, który od lat walczy o to, aby dane osobowe Europejczyków nie były przekazywane za ocean. Schrems jednak nie poprzestał na wywalczeniu unieważnienia Tarczy. Kolejnym krokiem w walce o prywatność Europejczyków stało się złożenie do różnych europejskich organów nadzorczych skarg na wiele dużych podmiotów, które nadal korzystają z narzędzi dostarczanych przez Facebook i Google, tym samym przekazując dane mieszkańców UE do USA bez odpowiednich zabezpieczeń (skargi zostały formalnie złożone przez powołaną przez prawnika organizację „noyb” w imieniu osób, których dane dotyczą). Łącznie zostało złożonych 101 skarg, z czego 5 do polskiego organu nadzorczego - Prezesa Urzędu Ochrony Danych Osobowych. „Polskie” skargi dotyczą następujących podmiotów: TVN S.A. (player.pl), Telewizja Polska S.A. (tvp.pl), Grupa Interia.pl (interia.pl), PKO BP (pkobp.pl) oraz Onet-RAS Polska Group (jakdojade.pl). Czego konkretnie dotyczyły i jakie zarzuty zostały w nich sformułowane?
Korzystanie z Google Analytics
Skargi związane z korzystaniem z tego narzędzia opierają się na tym, że na wskazanych stronach internetowych osadzane są kody HTML, dzięki którym można „śledzić” tych użytkowników witryny, którzy w momencie korzystania z danej strony www są jednocześnie zalogowani na swoje konto Google (przypomnijmy tylko, że np. logując się na konto YT jednocześnie logujemy się na konto Gmail). Zgodnie z odpowiednimi warunkami korzystania z usługi, Google LCC (spółka amerykańska) jest wówczas podmiotem przetwarzającym dane na zlecenie administratora (czyli właściciela witryny) w rozumieniu RODO. W trakcie naszej wizyty na www właściciel witryny pozyskuje takie dane jak adres IP oraz dane z plików cookie, które następnie są przekazywane do USA. Skarga dotyczy jednak nie samego przekazywania danych jako takiego, ale tego, że odbywa się ono na podstawie unieważnionej Tarczy Prywatności. Świadczy o tym pkt 10.2. Google Ads Data Processing Terms, na dzień 20.08.2020 r. o treści:
10.2 Transfers of Data Out of the EEA and Switzerland. Google will ensure that:(a) the parent company of the Google group, Google LLC, remains self-certified under Privacy Shield on behalf of itself and its wholly-owned U.S. subsidiaries; and (b) the scope of Google LLC’s Privacy Shield certification includes Customer Personal Data.; (tłumaczenie własne: 10.2. Przekazywanie danych poza EOG i Szwajcarię. Google zapewni, że: (a) spółka macierzysta grupy Google, Google LLC, zachowuje samocertyfikację w ramach Tarczy Prywatności w imieniu swoim i swoich amerykańskich spółek zależnych, w całości należących do niej; oraz (b) zakres certyfikacji Tarczy Prywatności Google LLC obejmuje Dane osobowe klienta.)
Co więcej, skarżący wskazał że administrator danych (właściciel witryny) nie może opierać transferu również na standardowych klauzulach umownych, gdyż – chociaż same SKU nie zostały unieważnione – poziom ochrony danych w USA jest niewystarczający, aby móc je zastosować dla zabezpieczenia transferu. Próba oparcia transferu na SKU została podjęta poprzez zapis pkt 10.2. New Google Ads Data Processing Terms, na dzień 20.08.2020 r. o treści:
10. 2. Transfers of Data. If the storage and/or processing of Customer Personal Data. involves transfers of Customer Personal Data from the EEA, Switzerland or the UK to any third country that is not subject to an adequacy decision under the European Data Protection Legislation: (a)Customer (as data exporter) will be deemed to have entered into the Model Contract Clauses with Google LLC (as data importer); (b) the transfers will be subject to the Model Contract Clauses; and (c) Google will ensure that Google LLC complies with its obligations under such Model Contract Clauses in respect of such transfers.; (tłumaczenie własne: 10. 2. Przekazywanie danych. Jeśli przechowywanie i/lub przetwarzanie danych osobowych klientów wiąże się z przekazaniem danych osobowych klienta z EOG, Szwajcarii lub Wielkiej Brytanii do dowolnego państwa trzeciego, które nie podlega decyzji stwierdzającej odpowiedni stopień ochrony zgodnie z europejskim prawodawstwem dotyczącym ochrony danych: (a) Klient (jako podmiot przekazujący dane) będzie traktowany jako przystępujący do standardowych klauzul umownych z Google LLC (jako podmiotu odbierający dane); (b) transfery będą podlegały standardowym klauzulom umownym; oraz (c) Google dopilnuje, aby firma Google LLC wypełniła swoje zobowiązania wynikające z takich standardowych klauzul umownych w odniesieniu do takich transferów).
Główny zarzut kierowany w stronę Google LLC to fakt, że podmiot ten ujawnia dane osobowe z UE/EOG rządowi USA.
Korzystanie z Facebook Connect
Skargi dotyczące przekazywania przez administratorów danych Facebook Inc. w związku z korzystaniem przez nich z usługi Facebook Connect są analogiczne jak w przypadku Google Analytics, tzn. ich przedmiotem jest nie tyle samo przekazywanie danych jako takie, ale przekazywanie bez odpowiednich zabezpieczeń, jakie wynikło z unieważnienia Privacy Shield i zaakcentowania przez TSUE konieczności badania systemu ochrony danych w państwie trzecim przed przekazaniem. Do przekazania danych dochodzi w związku z osadzeniem na witrynach administratorów kodu HTML, w wyniku czego przekazywane do USA są co najmniej adresy IP oraz pliki cookie. Nieco inaczej niż w przypadku Google LCC przedstawia się jednak relacja ADO – podmiot przetwarzający, gdyż zgodnie z Regulaminem korzystania z narzędzi biznesowych Facebook (pkt. 4) Facebook Ireland jest partnerem umownym administratora i kwalifikuje się jako podmiot przetwarzający, zaś Facebook Inc. kwalifikuje się jako podprocesor. Podobnie będzie w przypadku nowego Regulaminu korzystania z narzędzi biznesowych Facebooka (pkt. 4 lit. a podpunkt i). Jak wskazuje skarżący, nie dysponuje on środkami technicznymi umożliwiającymi ustalenie, czy przekazanie danych ma miejsce bezpośrednio między administratorem a Facebook Inc., czy też za pośrednictwem Facebook Ireland działającego w roli tzw. „interstation”. Na chwilę obecną Facebook nadal powołuje się na Tarczę Prywatności. Zgodnie z twierdzeniami skarżącego, Facebook Inc. aktywnie dostarcza dane osobowe rządowi USA, stąd również przekazywanie danych zabezpieczone SKU nie powinno mieć miejsca.
Co dalej?
Nie ulega wątpliwości, że w sprawach skarg, które wpłynęły, organy nadzorcze poszczególnych państw będą chciały skorzystać z mechanizmu, o którym mowa w art. 56 oraz 60 RODO (prowadzenie sprawy przez właściwy, wiodący organ nadzorczy) czy art. 64 ust. 2 RODO (opinia Europejskiej Rady Ochrony Danych). Można przypuszczać, że żaden organ nadzorczy pojedynczego państwa członkowskiego nie podejmie się samodzielnie zadania ustalenia, co z tym post-tarczowym fantem zrobić. „Zwykłemu” administratorowi, jeżeli nie może sobie z jakichś względów pozwolić na zaprzestanie przekazywania danych do Facebook czy Google, nie pozostaje chyba nic innego jak cierpliwie czekać.